IAM Identity Center 中的身分驗證 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Identity Center 中的身分驗證

使用者使用其使用者名稱登入 AWS 存取入口網站。執行此操作時,IAM Identity Center 會根據與使用者電子郵件地址相關聯的目錄,將請求重新導向至 IAM Identity Center 身分驗證服務。一旦通過身分驗證,使用者即可透過單一登入存取入口網站中顯示的任何 AWS 帳戶和第三方software-as-a-service(SaaS) 應用程式,而無需額外的登入提示。這表示使用者不再需要針對每天使用的各種指派 AWS 應用程式追蹤多個帳戶登入資料。

身分驗證工作階段

IAM Identity Center 維護的身分驗證工作階段有兩種類型:一種表示使用者登入 IAM Identity Center,另一種表示使用者存取 AWS 受管應用程式,例如 Amazon SageMaker AI Studio 或 Amazon Managed Grafana。每次使用者登入 IAM Identity Center 時,都會在 IAM Identity Center 中設定的持續時間內建立登入工作階段,最長可達 90 天。如需詳細資訊,請參閱設定 AWS 存取入口網站和 IAM Identity Center 整合應用程式的工作階段持續時間。每次使用者存取應用程式時,IAM Identity Center 登入工作階段都會用來為該應用程式建立 IAM Identity Center 應用程式工作階段。IAM Identity Center 應用程式工作階段具有可重新整理的 1 小時生命週期,也就是說,只要從中取得的 IAM Identity Center 登入工作階段仍然有效,IAM Identity Center 應用程式工作階段就會每小時自動重新整理。如果使用者使用 AWS 存取入口網站登出,使用者的登入工作階段會結束。下次應用程式重新整理其工作階段時,應用程式工作階段將會結束。

當使用者使用 IAM Identity Center 存取 AWS Management Console 或 時 AWS CLI,IAM Identity Center 登入工作階段會用來取得 IAM 工作階段,如對應的 IAM Identity Center 許可集中所指定 (更具體地說,IAM Identity Center 會在目標帳戶中擔任 IAM Identity Center 管理的 IAM 角色)。IAM 工作階段會無條件保留為許可集指定的時間。

注意

IAM Identity Center 不支援由做為您的身分來源的身分提供者啟動的 SAML 單一登出,也不會將 SAML 單一登出傳送至使用 IAM Identity Center 做為身分提供者的 SAML 應用程式。

當 IAM Identity Center 管理員刪除停用使用者時,使用者將立即失去 AWS 存取入口網站的存取權,並無法重新登入以啟動新的應用程式或 IAM 角色工作階段。使用者將在 30 分鐘內失去對現有應用程式工作階段的存取權。任何現有的 IAM 角色工作階段都會根據 IAM Identity Center 許可集中設定的工作階段持續時間繼續。工作階段持續時間上限為 12 小時。

當 IAM Identity Center 管理員撤銷使用者的工作階段或使用者登出時,使用者將立即失去 AWS 存取入口網站的存取權,並需要重新登入才能啟動新的應用程式或 IAM 角色工作階段。使用者將在 30 分鐘內失去對現有應用程式工作階段的存取權。任何現有的 IAM 角色工作階段都會根據 IAM Identity Center 許可集中設定的工作階段持續時間繼續。工作階段持續時間上限為 12 小時。

下表摘要說明先前描述的 IAM Identity Center 行為:

動作 使用者失去 IAM Identity Center 存取權 使用者無法建立新的應用程式工作階段 使用者無法存取現有的應用程式工作階段 使用者失去對現有 AWS 帳戶 工作階段的存取權
使用者已停用 立即生效 立即生效 30 分鐘內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。
使用者已刪除 立即生效 立即生效 30 分鐘內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。
使用者工作階段已撤銷 使用者必須再次登入才能重新取得存取權 立即生效 30 分鐘內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。
使用者登出 使用者必須再次登入才能重新取得存取權 立即生效 30 分鐘內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。

當 IAM Identity Center 管理員移除應用程式存取時,使用者將失去對現有應用程式的存取。移除應用程式存取後一小時內,使用者對現有應用程式的存取將會遺失。任何現有的 IAM 角色工作階段都會根據 IAM Identity Center 許可集中設定的工作階段持續時間繼續。工作階段持續時間上限為 12 小時。

下表摘要說明先前描述的 IAM Identity Center 行為:

動作 使用者失去 IAM Identity Center 存取權 使用者無法建立新的應用程式工作階段 使用者無法存取現有的應用程式工作階段 使用者失去對現有 AWS 帳戶 工作階段的存取權
從使用者移除的應用程式或 AWS 帳戶 存取權 否 - 使用者可以繼續存取 IAM Identity Center 立即生效 1 小時內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。
從已指派應用程式或 的群組中移除使用者 AWS 帳戶 否 - 使用者可以繼續存取 IAM Identity Center 1 小時內 2 小時內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。
從群組移除的應用程式或 AWS 帳戶 存取權 否 - 使用者可以繼續存取 IAM Identity Center 立即生效 1 小時內 在 12 小時內或更短時間內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。